HTTPS真的安全吗?—— 使用 mitmproxy 中间人攻击破解 GitHub 登录会话

Bruce_Liuxiaowei2026-01-03 8:36

HTTPS真的安全吗?------ 使用 mitmproxy 中间人攻击破解 GitHub 登录会话

1. 网络拓扑

复制代码 
Mac主机(192.168.1.21) → Win11虚拟机(192.168.1.31)
    |                         |
Chrome浏览器              mitmproxy监听
代理设置:192.168.1.31:9090   端口:9090(流量)/9091(web界面)

正确的配置步骤

步骤 1:在 Win11 虚拟机启动 mitmproxy

bash 复制代码 
# 启动 mitmweb,监听 9090 端口(与 Mac 代理设置一致)
mitmweb --listen-host 0.0.0.0 --listen-port 9090 --web-port 9091

# 或者如果您需要同时捕获 Windows 本地流量,可以添加 --allow-hosts
mitmweb --listen-host 0.0.0.0 --listen-port 9090 --web-port 9091 --allow-hosts ".*"

步骤 2:配置 Mac 主机 Chrome 代理

  1. 安装 SwitchyOmega 或其他代理扩展
  2. 新建情景模式:
    • 代理协议:HTTP
    • 代理服务器:192.168.1.31(Win11虚拟机IP)
    • 代理端口:9090
  3. 或使用系统代理设置:
bash 复制代码 
# 终端中设置
networksetup -setwebproxy "Wi-Fi" 192.168.1.31 9090
networksetup -setsecurewebproxy "Wi-Fi" 192.168.1.31 9090

步骤 3:安装 mitmproxy CA 证书

在 Mac 主机上:

  1. 访问 http://mitm.it(通过代理)
  2. 下载 macOS 证书
  3. 安装到钥匙串访问:
    • 双击证书安装
    • 在钥匙串访问中找到该证书
    • 右键 → 显示简介 → 信任 → 始终信任

步骤 4:开始捕获 GitHub 登录

  1. 在 Win11 打开 mitmweb 界面:http://127.0.0.1:9091
  2. 在 Mac Chrome 访问:https://github.com/login
  3. 输入账号密码登录
  4. 在 mitmweb 中观察流量

如何解密密码

从 截图中可以看到:

  1. 找到登录请求

    • 方法:POST
    • URL:https://github.com/session
    • Status:302(重定向)

  2. 查看请求表单数据

    复制代码 
    commit: Sign in
authenticity_token:  XqSNPnQ/Ht3CfaEh6m+D1tScBxxxxxxxxxxvWH03EAeaPIIBnQ==
login: [我的账号]
password: xxxx
webauthn-support: supported

完整实验命令参考

Win11 虚拟机端:

bash 复制代码 
# 方法 1:使用 mitmweb(推荐)
mitmweb --listen-host 0.0.0.0 --listen-port 9090 --web-port 9091 --ssl-insecure

# 方法 2:使用 mitmdump 输出到文件
mitmdump --listen-host 0.0.0.0 --listen-port 9090 -w github_traffic.mitm

# 方法 3:使用过滤器只捕获 GitHub 流量
mitmweb --listen-host 0.0.0.0 --listen-port 9090 -f "~d github.com"

验证配置:

  1. 在 Win11 检查防火墙:
bash 复制代码 
netsh advfirewall firewall add rule name="mitmproxy" dir=in action=allow protocol=TCP localport=9090
  1. 在 Mac 测试连接:
bash 复制代码 
curl --proxy http://192.168.1.31:9090 https://github.com

故障排除

常见问题 1:连接不上

bash 复制代码 
# Win11 查看端口监听
netstat -an | findstr :9090

# 临时关闭防火墙测试
netsh advfirewall set allprofiles state off

常见问题 2:证书错误

  1. 确保在 Mac 正确安装 mitmproxy CA
  2. 清除 Chrome 缓存和 SSL 状态
  3. 重启 Chrome 或使用隐私模式

常见问题 3:看不到 HTTPS 内容

确保:

  1. 代理设置正确
  2. 证书已安装并信任
  3. 访问 https://mitm.it 显示正常

实验结果分析

当您成功配置后,在 mitmweb 中应该能看到:

  1. POST https://github.com/session 请求
  2. 请求体中的 password 字段
  3. 302 重定向响应
  4. 后续的 Set-Cookie 操作
相关推荐
迎仔36 分钟前
11-云网络与混合云运维:弹性数字世界的交通管理
网络·安全·web安全
pitch_dark41 分钟前
渗透测试系统基础篇——kali系统
网络·安全·web安全
世界尽头与你41 分钟前
(修复方案)基础目录枚举漏洞
安全·网络安全·渗透测试
ん贤44 分钟前
一次批量删除引发的死锁,最终我选择不加锁
数据库·安全·go·死锁
独行soc1 小时前
2026年渗透测试面试题总结-20(题目+回答)
android·网络·安全·web安全·渗透测试·安全狮
翼龙云_cloud1 小时前
阿里云渠道商:阿里云 ECS 从安全组到云防火墙的实战防护指南
安全·阿里云·云计算
程序猿阿伟1 小时前
《TypeScript中Protobuf到运行时类型安全的转换指南》
javascript·安全·typescript
小白电脑技术2 小时前
飞牛漏洞焦虑?别瞎折腾WAF了!用Lucky五步搞定“防爬墙”
服务器·网络·安全
一战成名9962 小时前
深度解析 CANN 模型转换工具链:从 ONNX 到 OM
人工智能·学习·安全·开源
轻造科技2 小时前
工艺变更管理系统+版本控制:旧工艺自动作废,避免新旧版本混用
安全·mes系统·轻造科技
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03OpenClaw Chrome扩展使用教程 - 浏览器中继控制04Linux下V2Ray安装配置指南05使用 1panel面板 部署 php网站06从零搭建一个 PHP 登录注册系统(含完整源码)07UV安装并设置国内源08openclaw配置教程(linux+局域网ollama)09Vue-skills的中文文档10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南